php - Generer salt og peber - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

Bruger #15663 @ 28.12.11 20:36

Hejsa.

For at sikre mit login lidt bedre har jeg læst mig til at jeg skal skifte min md5 ud med noget sha1, salt og peber.

Nu er det sådan at mit webhotel en gang er blevet komprimenteret, dog ikke min mysql server, derfor har jeg valgt at have salt og peber i den sammen med brugeren.

Mit spørgsmål går slet og ret på hvordan jeg laver noget helt automatisk til mit salt og noget til mit peber?

skal jeg bare lave to funktioner og kalde dem salt og peber?
også bare gøre sådan?

PHP kode

 function salt() {
     $length = 10;
     $characters = ’0123456789abcdefghijklmnopqrstuvwxyz’;
     $salt = ”;    
 
     for ($p = 0; $p < $length; $p++) {
         $string .= $characters[mt_rand(0, strlen($characters))];
     }
 
     return $salt;
 }
 
 function peber() {
     $length = 10;
     $characters = ’0123456789abcdefghijklmnopqrstuvwxyz’;
     $peber = ”;    
 
     for ($p = 0; $p < $length; $p++) {
         $string .= $characters[mt_rand(0, strlen($characters))];
     }
 
     return $peber;
 }

Eller findes der en smartere måde at gøre det på?

4 svar postet i denne tråd vises herunder
2 indlæg har modtaget i alt 3 karma

Sorter efter stemmer Sorter efter dato

Bruger #2730 @ 29.12.11 18:44

1.626

Hold da op, hvilke hemmelighder beskytter du?
Jeg mener man skal bruge alting med måde, måske er der noget som er mere vigtigt at fokusere på end at have en super-super-super-hård kryptering, fx. gøre det nemt at restore, hente glemt password eller lignende. Midlet skal stå mål med opgaven.

Bruger #4487 @ 28.12.11 20:48

1.384

Genererer du random salt og peber?, fordi hvis du gør dette, kan vel være svært at logge brugeren ind en anden gang, hvis salt og peber samt password ikke stemmer overens. Det jeg ville have gjort var således

PHP kode

 public function password_encryption( $username, $password )
 {
    //Lokale Variabler (salt og peber)
    $salt = "12345";
    $pepper = "13579";
 
    //returner det krypterede password med salt og peber. 
    return sha1( $salt . $username . $password . $pepper );
 }

Du kan også vælge at bruge en anden hashing algoritme, ved at gøre således

PHP kode

 public function password_encryption( $username, $password )
 {
    //Lokale Variabler med salt og peber
    $salt = "12345";
    $pepper = "24679";
 
    //returner det krypterede password med salt og peber.
    return hash( "sha512", $salt . $username . $password . $pepper );
 }

Hash() funktionen kræver som den første parameter, en hashing algoritme. Dette kunne sagten være sha1, eller md5, men jeg har her brugt sha512, som er en lidt anderledes algoritme. Du kan se flere algoritmer her.

Indlæg senest redigeret d. 28.12.2011 20:48 af Bruger #4487

Bruger #15663 @ 28.12.11 20:58

415

Jeg har valgt at smide dem i db.

dvs jeg laver først en forespørgsel ud fra deres indtastede username, derpå henter jeg salt og peber fra den række i db.

Dvs at når de oprettes så skal der smides salt og peber med i databasen, derpå kan jeg også anvende salt og peber til min kodehusker.

Bruger #4487 @ 29.12.11 00:21

1.384

ahh ok

Generer salt og peber

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler